b. Phương pháp dò sự không bình thường:
1.2.2.3Module phản ứng
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, module phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản ứng. Lúc đó module phản ứng sẽ kíck hoạt firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại module này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Module phản ứng
ăn Đình Quân-0021
này tùy theo hệ thống mà có các chức năng khác nhau. Dưới đây là một số kỹ thuật ngăn chặn:
• Terminate session:
Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin reset, thiết lập lại cuộc giao tiếp tới cả client và server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại, các mục đích của hacker không đạt được, cuộc tấn công bị ngừng lại. Tuy nhiên phương pháp này có một số nhược điểm như thời gian gửi gói tin reset đến đích là quá lâu so với thời gian gói tin của hacker đến được Victim, dẫn đến reset quá chậm so với cuộc tấn công, phương pháp này không hiệu ứng với các giao thức hoạt động trên UDP như DNS, ngoài ra gói Reset phải có trường sequence number đúng (so với gói tin trước đó từ client) thì server mới chấp nhận, do vậy nếu hacker gửi các gói tin với tốc độ nhanh và trường sequence number thay đổi thì rất khó thực hiện được phương pháp này.
• Drop attack:
Kỹ thuật này dùng firewall để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và victim. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
• Modify firewall polices:
Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy cập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị.
• Real-time Alerting:
Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
• Log packet:
Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động.
hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện
nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo.
Các kiểu tấn công mới ngày càng phát triển đe dọa đến sự an toàn của các hệ thống mạng. Với các ưu điểm của mình, hệ thống IPS dần trở thành không thể thiếu trong các hệ thống bảo mật.